现在的移动办公和远程办公已经成为了常态,扩展了组织网络的边界,让组织更加充分的利
用互联网,让组织的信息化建设发挥更大的价值,然后就有了移动接入这个概念
用户远程接入企业内网,有哪些技术可以实现在复杂业务场景下,保障终端用户接入内网的
身份安全性,同时尽可能保障用户使用体验?
本地用户名/密码,LDAP服务器,Radius服务器,CA认证,AD域单点登录
硬件特征码,动态令牌,短信认证
(主认证至少需要1种,辅认证不能单独使用;主认证可以单独使用)
SSL VPN的用户必须使用一种主要认证方式,也可以使用主要认证再结合多种辅助认证的方
式。
如果设置了多种主要认证方式,可选择必须通过所有的主要认证或通过其中一种主要认证方
式即可。
根据终端用户认证的账户信息存储位置,可以将认证分为本地认证和外部认证:
本地认证:认证的账户信息保存在设备本地
外部认证:认证的账户信息保存在外部系统
一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件
包括:用户身份信息
用户公钥信息
身份验证机构数字签名的数据
从证书用途来看,数字证书可分为签名证书和加密证书。
主要用于对用户信息进行签名,以保证信息的真实性和不可否认性。
主要用于对用户传送的信息进行加密,以保证信息的机密性和完整性。
LDAP (Lightweight Directory Access Protocol)是轻量级目录访问协议。在LDAP中目录是按
照树型结构组织,目录由条目组成,条目相当于关系数据库中表的记录;条目是具有区别名DN
(DistinguishedName)的属性(Attribute) 集合。
可以这样理解,LDAP在认证场景中,它是存储了用户账户信息数据库的一个账户系统,可以
通过标准的LDAP协议与该系统进行交互,实现验证终端身份的需求。
LDAP是一种开放标准, LDAP协议是跨平台的Interent协议
常见的LDAP系统有:MS-LDAP: Active Directory (常称为"AD域”)
Open LDAP
Other LDAP
LDAP外部认证过程
1. LDAP用户把用户名和密码提交给SSL VPN设备
2. SSL VPN设备把用户名和密码提交给DAP服务器进行验证
3. LDAP服务器在本地进行验证,并把结果返回给用SSL VPN设备
4. SSL VPN设备把结果返回给用户
HTTP/通过客户处其他系统的HTTP/HTTPS的自定义开放接口来实现的认证过程,在用户登录认证
中,既可以作为主认证方式,也可作为辅助认证方式,(具体看对接的服务器 是短信网关还是令牌
网关或认证网关)
在HTTP/HTTPS认证中,可以根据对端的接口要求构造请求发送到HTTP/HTTPS认证服务
上,由HTTP/HTTPS进行响应并返回,然后根据他们返回的结果来判断是否认证成功。即若需要
使用HTTP/HTTPS认证需要提前获取到HTTP/HTTPS认证服务器的接口文档。
通过硬件特征码认证技术可实现用户帐号和电脑硬件特征信息的绑定,某账号只能通过指定
的电脑登录。即便用户账号意外泄露,由于非法用户无法使用与此账号事先绑定的那台计算机,因
而不会造成非法终端用户接入。确保了终端用户接入的安全性。
在用户登录认证中,硬件特征码认证属于辅助认证,必须结合主要认证使用。
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
加入交流群
请使用微信扫一扫!